Im Linux-Kernel wurde eine Schwachstelle identifiziert (CVE-2022-21505), die es einfach macht, den Lockdown-Sicherheitsmechanismus zu umgehen, der den Root-Benutzerzugriff auf den Kernel einschränkt und UEFI Secure Boot-Umgehungspfade blockiert. Um dies zu umgehen, wird vorgeschlagen, das Kernel-Subsystem IMA (Integrity Measurement Architecture) zu verwenden, das die Integrität von Betriebssystemkomponenten mithilfe digitaler Signaturen und Hashes überprüfen soll.
Der Sperrmodus schränkt den Zugriff auf /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes Debug-Modus, mmiotrace, Tracefs, BPF, PCMCIA CIS (Card Information Structure), einige ACPI-Schnittstellen und die CPU ein MSR-Register, kexec_file- und kexec_load-Aufrufe sind blockiert, der Schlafmodus ist verboten, die DMA-Nutzung für PCI-Geräte ist eingeschränkt, der ACPI-Code-Import aus EFI-Variablen ist verboten, Manipulationen an I/O-Ports sind nicht erlaubt, einschließlich der Änderung der Interrupt-Nummer und des Ports I /O für serielle Schnittstelle.
Der Kern der Schwachstelle besteht darin, dass es bei Verwendung des Boot-Parameters „ima_appraise=log“ möglich ist, kexec aufzurufen, um eine neue Kopie des Kernels zu laden, wenn der Secure Boot-Modus im System nicht aktiv ist und der Lockdown-Modus separat verwendet wird davon. IMA erlaubt nicht die Aktivierung des „ima_appraise“-Modus, wenn Secure Boot aktiv ist, berücksichtigt jedoch nicht die Möglichkeit, Lockdown getrennt von Secure Boot zu verwenden.
Source: opennet.ru